国有大型企业信息安全管理评价研究.docVIP

国有大型企业信息安全管理评价研究 　　【摘 要】国有大型企业的信息安全管理工作是推动企业自身信息化建设、保障企业正常运转的重要内容，对其评价有重要意义。本文从管理的角度出发，结合国有大型企业信息安全管理特点，构建五维度评价指标体系，运用模糊综合评价的方法对其评价。通过案例研究，得出评价结果。最后，为企业提出了提高信息安全水平的对策建议。 　　【关键词】国有大型企业 信息安全管理 模糊综合评价 　　随着我国计算机技术和网络技术的迅速发展，很多国有大型企业对信息和信息技术的依赖程度越来越高，信息已经成为企业一种崭新的资产，对企业的发展起到了至关重要的作用[1]。研究发现，对于企业信息安全管理的评价多数侧重于信息安全系统技术层面的评价 [2]，或对信息安全等级评估和风险的评估[3] [4]。但国有大型企业的信息安全管理是一个概念非常复杂的管理事务，不能单纯依赖技术及防护设备，还将涉及安全、风险、人员、规章制度等管理因素，对其评价是一个定性与定量指标共存的综合的评价，要运用综合评价的思想和方法，才能够使评价结果更严谨。 　　本文着重从管理的角度出发，构建了国有大型企业信息安全管理评价指标体系，应用模糊综合评价的方法建立评价模型，并结合实证研究，得出客观、科学的评价结果。 　　1.评价指标体系构建 　　1.1 指标体系的构建 　　本文在研究了国外信息安全管理的评价标准[5] [6]，以及国内信息安全管理体系的发展状况基础上[7] [8]，结合国家对国有大型企业信息系统安全性的基本要求[9]，综合考虑信息安全的技术属性和管理要素，通过德尔菲法反复征询5位专家的意见，构建了国有大型企业信息安全管理评价指标体系。 　　该指标体系共分为5项一级指标和16项二级指标，其中一级指标包括安全管理、技术管理、风险管理、人员管理和制度管理。各二级指标分别为物理安全、软件安全、网络安全；防御攻击能力、预警能力、系统应急反应能力、技术创新能力；风险识别、风险评估、风险控制；专业人员比例、考评上岗合格率、对员工的培训率；企业必威体育官网网址机制、安全规章制度、应急处理预案。 　　1.2 指标权重的确定 　　选用层次分析法作为指标体系中确定权重的方法，具体步骤如下： 　　（1）建立递阶层次结构模型，将决策问题的因素自上而下划分为不同的层次，包括目标层、准则层、指标层等。 　　（2）构造判别矩阵。一般用1―9标度的表示方法，把处于同一子集上的指标相对重要性进行专家评分，构造一个以重要性标度Aij为元素的两两比较判别矩阵A=（Aij）m*n。 　　（3）层次单排序。根据判别矩阵，求解矩阵A的最大特征根？姿m？琢x=？蒡■■■所对应的特征向量，并且做归一化处理。 　　（4）一致性检验。判断所得到的特征向量是否是权向量。 　　（5）层次总排序。层次总排序所得到的二级指标权重值等于层次单排序中每个二级指标的权值乘以其对应的一级指标的权值。 　　应用该方法，选取5位专家，结合已构建的评价指标体系，分别对一级指标、二级指标进行1―9标度判别矩阵的排序，应用层次分析法软件得出各个指标的权重值，此数据将作为后续评价的主要依据。 　　2.案例研究 　　模糊综合评价（Fuzzy Comprehensive Evaluation， FCE）是一种非常有效的多因素决策方法，主要运用模糊变换原理和最大隶属度原则，综合考虑与被评价事物相关的各个因素，对评估对象作综合评价。一般分为确定评价因素集、评语集、权重集，进行单因素模糊综合评价、多因素模糊综合评价及对评价向量分析6个步骤[10]。 　　本文的评语集为{优秀、良好、中等、一般、差} 5个等级，建立隶属函数，根据5位专家对指标的评分数据，计算出各二级指标的隶属度，最后分别得到安全管理、技术管理、风险管理、人员管理和制度管理的综合评价关系矩阵R1、 R2、 R3、 R4、 R5。 　　根据模型的计算公式，多因素模糊综合评价矩阵Bn为权重向量Wn与单因素评价关系矩阵Rn相乘所得到的行向量，本指标体系的多因素模糊综合评价矩阵分别为：B1=（0.29，0.65，0.06，0，0，B2=（0.25，0.67，0.08，0，0），B3=（0.14，0.51，0.35，0，0），B4=（0.39，0.27，0.34， 　　0，0），B5=（0.25，0.57，0.18，0，0）。 　　由B1、B2、B3、B4和B5构成了该国有大型企业信息安全管理的单因素评价关系矩阵R，最终得到企业信息安全管理评价指标体系的总体评价结果如表1所示。 　　3.结论 　　根据表1，进一步对评价结果进行分析，该国有大型企业信息安全管理总体评价属于“优秀”、“良好”、“中等”的程度分别为24%、 57%、19%，按照隶属度最大原则，企业